网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文
 

   
专 题 栏 目
相 关 文 章

通过端口来判断电脑感染
技巧:端口重定向Fpipe的
VPN连接速度下降 祸起端
交换机端口不匹配导致局
修改远程3389端口让网络
设置IP安全策略阻杀木马
起死回生 解决交换机端口
封锁无用网络端口 保护系
通过配置交换机端口解决
最强安全基础 从0到3360

 
从端口下手 企业防SQL蠕虫病毒侵袭           
从端口下手 企业防SQL蠕虫病毒侵袭
作者:陈鹏 文章来源:eNet 点击数: 更新时间:2009-9-11 23:32:47
 




 

SQL蠕虫一直是让企业网络管理人员很头疼的问题,许多时候如果通过Etherpeek针对端口1433、1434抓包会发现,很多用户电脑上面并没有安装SQL服务器,但是仍能监测有蠕虫通过1433端口向外面大量发包。一般来说微软的桌面数据库MSDE也有可能感染该蠕虫。

看看SQLsnake蠕虫,也叫Spida及Digispid,首次露面以来,就一直在扫描成千上万台与Internet相连的电脑系统的1433端口,企图寻找运行微软SQL且没有在系统管理员账号上设置适当密码的系统。还存在另外一种病毒,即使并没有安装数据库的PC也会感染。这个时候客户端PC如果没有办法解决的话,就只能从网络层进行防护了。

一般来说UDP端口1434都是用来做侦听的,可以在网络设备上过滤掉UDP1434;而TCP端口1433是SQL服务器正常通信需要的端口,并不能全网过滤掉。

但是一般来说,跨网段的数据库很少,这样,我们可以开放有数据库的网段的1433端口,然后再过滤全网的1433,这样减少了故障处理点,也达到了目的。

看看下面的ACL,核心三层交换机S8016针对1433、1434所做的ACL,其他设备类似。

注:全网封UDP 1434,开放10.145.7.0网段的TCP端口1433。

rule-map intervlan rule72 tcp  any  any   eq 1433
rule-map intervlan rule73 tcp  any  any  eq 1434
rule-map intervlan rule69 tcp  any  10.145.7.0 0.0.0.255  eq 1433
eacl acl-jxic rule69 permit priority 34083
eacl acl-jxic rule72 deny priority 34088
eacl acl-jxic rule73 deny priority 34090

之后用Etherpeek抓包一看,SQL蠕虫没有了,设备也没有告警,大功告成!

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客